去年，Palo Alto Networks（派拓網(wǎng)絡(luò)）的威脅研究與咨詢團(tuán)隊Unit 42曾在Google Kubernetes Engine(GKE)中發(fā)現(xiàn)多個漏洞和攻擊技術(shù)。這些威脅不僅影響了Google Cloud用于管理Kubernetes集群的一款產(chǎn)品GKE Autopilot，同時甚至影響到了GKE標(biāo)準(zhǔn)。

　　Unit 42發(fā)現(xiàn)GKE Autopilot漏洞能夠讓攻擊者升級權(quán)限，并接管整個集群。攻擊者可以隱秘地竊取信息，部署惡意軟件，實施加密挖礦攻擊，以及破壞工作負(fù)載。谷歌隨后解決了這些問題，并在GKE中部署了大量補丁保護(hù)集群。到目前為止，Unit 42未發(fā)現(xiàn)這些漏洞被廣泛利用。

　　針對Kubernetes的攻擊愈演愈烈

　　Kubernetes是Google開源的容器編排引擎，支持自動化部署、大規(guī)模擴(kuò)展和應(yīng)用容器化管理。根據(jù)云原生計算基金會（CNCF）的最新年度調(diào)查顯示，絕大多數(shù)企業(yè)（83%）在生產(chǎn)環(huán)境中運行了Kubernetes。值得注意的是，上云為企業(yè)帶來諸多益處的同時，也吸引了大量攻擊者。Unit 42監(jiān)測到許多專門用于攻擊Kubernetes的惡意軟件。要想確保云上工作的安全性，就需要企業(yè)、云安全提供商和整個網(wǎng)絡(luò)安全行業(yè)共同協(xié)作，解決漏洞和錯誤配置等問題。

　　隨著Kubernetes技術(shù)的不斷進(jìn)步，目前簡單的錯誤配置和漏洞已經(jīng)越來越少見，而攻擊者也在不斷升級攻擊行為。研究表明，即使是Kubernetes中最細(xì)微的問題，也可能成為攻擊的切入點。只有全面的云原生安全平臺，才能讓防御者有能力保護(hù)集群免受類似威脅。

　　如何防范針對Kubernetes的惡意攻擊

　　Kubernetes管理員可以通過制定規(guī)則和采取審核措施，監(jiān)控、檢測和預(yù)防集群中的可疑活動和權(quán)限升級。另外，應(yīng)用NodeAffinity、Taints和PodAntiAffinity規(guī)則可以將高可靠性的pod與不可靠的pod分開。

　　為了保護(hù)整個云環(huán)境，最好的解決方案是采用全面的云原生安全平臺。作為業(yè)界唯一的全面云原生安全平臺，Prisma Cloud利用云服務(wù)提供商API提供對公有云環(huán)境的可視性和控制，同時利用單個統(tǒng)一的代理框架將安全性擴(kuò)展到主機、容器和無服務(wù)器功能。其憑借對混合和多云環(huán)境的支持，實現(xiàn)了全面的云原生安全。Prisma Cloud能快速全面地解決云端安全的一系列挑戰(zhàn)，提供實時的深度云資源報告、保持云端的合規(guī)性、保護(hù)云原生資源及賦能敏捷開發(fā)。Prisma Cloud用戶可以啟用Kubernetes準(zhǔn)入支持，解決Kubernetes權(quán)限升級問題。該功能可以有效防止針對Kubernetes的攻擊。迄今為止，Prisma Cloud獲得了77%的財富100強企業(yè)信賴，客戶超過1,700家。